Unsaflok: Otel Kapılarını Açan Anahtar Gerçekten Sadece Kartınız mı?

Gündelik hayatımızın vazgeçilmezi hâline gelen teknolojiler, bize hız ve kolaylık sunuyor. Tek bir kartla toplu taşımayı kullanıyor, ödeme yapıyor ve otel odamızın kapısını açıyoruz. Peki, bu sistemlerin temelinde yatan teknoloji ne kadar güvenli? DEF CON 32 konferansında Lennert Wouters ve Ian Carroll tarafından duyurulan "Unsaflok" adlı güvenlik açığı, milyonlarca otel kilidinin aslında ne kadar savunmasız olabileceğini göstererek bu konuyu tekrar gündeme getirdi.

Temeldeki Teknoloji: RFID ve Fiziksel Erişim Kontrol Sistemleri (PACS)

Unsaflok'un nasıl çalıştığını anlamak için önce temelindeki iki kavrama göz atalım:

1. RFID (Radyo Frekansı ile Tanımlama): RFID, nesneleri radyo dalgaları kullanarak kablosuz olarak tanımayı sağlayan bir teknolojidir. Bir RFID etiketi (otel kartınız gibi) ve bir okuyucudan (kapı kilidi gibi) oluşur. Okuyucu bir sinyal gönderdiğinde, etiket bu sinyali kullanarak kendi kimlik bilgisini geri yansıtır. Bu teknoloji, NFC (Yakın Alan İletişimi) ile birlikte; temassız kredi kartlarından toplu taşıma kartlarına, hatta Amiibo gibi oyuncaklara kadar geniş bir alanda kullanılır.
2. PACS (Fiziksel Erişim Kontrol Sistemleri - Physical Access Control Systems): PACS, belirli alanlara veya kaynaklara erişimi yöneten ve kontrol eden sistemlerdir. Geleneksel anahtar-kilit sistemlerinin elektronik versiyonlarıdır. Otellerdeki kartlı kilit sistemleri, bir binaya giriş için kullanılan personel kartları veya güvenli bir odaya erişim sağlayan sistemler PACS'a örnektir. Bu sistemler, kimin, ne zaman ve nereye erişebileceğini belirleyerek güvenliği artırmayı hedefler.

Unsaflok Açığı: Güvenli Sandığımız Kapılar Nasıl Açılıyor?

Unsaflok, dünya genelindeki milyonlarca otel kilidini etkileyen, RFID tabanlı PACS sistemlerindeki kritik bir güvenlik açığıdır. Saldırganlar, bu sistemlerin iletişim protokollerindeki zayıflıkları kullanarak geçerli bir anahtar kartına ihtiyaç duymadan kilitleri açabiliyorlar.

Bu tür saldırılar yeni bir kavram değildir. Siber güvenlik topluluğu, yıllardır DEF CON gibi konferanslarda RFID ve NFC teknolojilerine yönelik çeşitli saldırı yöntemlerini sunuyor. Örneğin, araştırmacılar daha önce Apple Pay'in "Ekspres Toplu Taşıma" özelliğini kullanarak, kilitli bir iPhone'dan kullanıcının onayı olmadan ve temassız limitleri aşarak ödeme yapmanın mümkün olduğunu göstermişti. Bu saldırı, cihazlar arasındaki iletişimi manipüle etmeye dayanan bir “ortadaki adam” (Man-in-the-Middle) saldırısıdır. Unsaflok da benzer şekilde, sistemin meşru iletişimini taklit ederek veya manipüle ederek yetkisiz erişim sağlar.

Tehdit Sadece Otellerle mi Sınırlı?

Unsaflok doğrudan otel kilitlerini hedef alıyor olsa da, altında yatan zafiyetler RFID/NFC teknolojisinin kullanıldığı her alan için bir risk teşkil eder. Geçmişte yapılan araştırmalar, ödeme terminallerinden toplu taşıma sistemlerine kadar birçok alanda benzer saldırıların mümkün olduğunu göstermiştir.

Bu saldırılar, "shimming" adı verilen bir başka siber saldırı türüyle de benzerlikler taşır. Shimming, kart okuyuculara yerleştirilen çok ince bir cihaz (shim) aracılığıyla çipli kart verilerinin kopyalanmasıdır. Hem shimming hem de Unsaflok gibi saldırılar, güvenliği artırmak için tasarlanmış teknolojilerin (EMV çipleri, RFID/NFC) nasıl aşılabileceğini göstermektedir.

Ne Yapılabilir? Önlemler ve Sorumluluklar

Unsaflok gibi güvenlik açıkları, hem üreticiler hem de kullanıcılar için önemli dersler içerir:

1. Üreticiler ve Kurumlar: Fiziksel erişim sistemlerini üreten ve kullanan şirketler (oteller, ofisler vb.) düzenli güvenlik denetimleri yapmalı ve yazılımlarını güncel tutmalıdır. Güvenlik açıklarının bildirilmesi durumunda, Apple ve Visa arasındaki sorumluluk anlaşmazlığında olduğu gibi gecikmeler yaşanmamalı ve hızlıca düzeltmeler sağlanmalıdır.
2. Kullanıcılar: Tüketiciler olarak bizim de alabileceğimiz önlemler var. Örneğin, Apple Pay açığı için kullanıcılara riskli buldukları Visa kartını "Ekspres Toplu Taşıma" modunda kullanmamaları tavsiye edilmiştir. Benzer şekilde, otel odası gibi kişisel alanlarımızın güvenliği için ek önlemler almak (kapı sürgüsü kullanmak gibi) akıllıca olabilir.
3. Farkındalık: En önemli savunma, farkındalıktır. Siber güvenlik araştırmacılarının DEF CON gibi platformlarda yaptıkları sunumlar, bu teknolojilerin sınırlarını ve risklerini anlamamıza yardımcı olur.

Referanslar:

• https://github.com/doegox/awesome-rfid-talks
• https://www.youtube.com/watch?v=Bttr7fEfxiE
• https://www.youtube.com/watch?v=SMm4g5yhDoY
• https://media.ccc.de/v/emf2024-80-digital-skeleton-keys-we-ve-got-a-bone-to-pick
• https://www.youtube.com/watch?v=4cx0RUV7i0s
• https://media.defcon.org/DEF%20CON%2032/DEF%20CON%2032%20presentations/DEF%20CON%2032%20-%20Lennert%20Wouters%20Ian%20Carroll%20-%20Unsaflok%20-%20Hacking%20millions%20of%20hotel%20locks.pdf